administration distante ssh ou https impossible ipcop 1.4.8

[mstotor]

bonjour tout le monde.

suite à un cisco en panne, je viens d'expedier chez un de mes collegues un ipcop fraichement installé (iso 1.4.8 ) + copfilter0.81.6.

internet(adslwanadoo)----modemspeedtouch510---(PPPOE)-------ipcop--switch--lan

tout fonctionne à merveille, pop, smtp,

j'ai une modif à faire pour parametrer le serveur openvpn et impossible d'acceder ni en https ni via putty en ssh.

j'ai fais verifié par le collegue les acces externes pour verifier si ils sont bien activés.

TCP 445 pour acces https----ipdefaut(red)----mon Ip publique pour l'autorisation

TCP 222 pour acces ssh----ipdefaut(red)----mon Ip publique pour l'autorisation, et ssh activé.


mais rien nada via putty pas de prompt, pas d'acces web.en https://ipdistante:445

un scan de port 445 et 222 nada personne en ecoute. reboot ipcop pareil


une bonne âme pourrais me dire ce que j'ai oublié, j'ai un trou là, merçi

[lembal]

As-tu vérifié si les ports sont en écoute ?

Code: Tout sélectionner

#netstat -an | grep 445
#netstat -an | grep 222

[mstotor]

fin de journée, et l'acces distant (800 km) a été desactivé jusqu'à demain

je ferais faire l'essai des la reprise à l'aide de ta commande.

ce qui m'etonne c'est que j'ai scanné ces ports, 20 à 30, 220 à 240 et 440 à 448 en TCp (pas à l'abris d'une faute de frappe) rien n'ecoute justement, comme si la commande d'acitvation via la page web des acces externes ne fonctionnait pas, ou que wanadoo bloque le port 445 depuis sasser ?

Merci

[gui82]

salut,

j'avais tenté l'expérience d'une connexion a distance (avec un ipcop antérieur) avec un gars qui était connecté avec wanadoo... je confirme : ils bloquent le 445.

pour le port 222, je ne peux pas dire, à l'époque j'avais besoin que ssh soit sur le port 22 donc j'avais reconfiguré sshd.

[Billou02]

salut, je confirme :
wanadoo bloque le 445 mais le 222 passe (je l'utilise perso) !

@+

[mstotor]

merçi pour la confirmation, ca devenait pennible et genant de refaire faire verifier chaque paramettre

exellente journée

Michel

[Billou02]

il y a un aussi post sur la maniere de pouvoir changer le port d'administration distante dans le newbie kit.
si ca peut t'aider....

@+

[Gesp]

il y a un script pour changer le port 445 depuis la 1.4.8
/usr/local/bin/setreservedports

Mais il ne décale pas le port de l'accès externe. C'est à vous de le faire dans l'interface.

Le changement de port devrait être intégré un jour dans l'interface web. Et puis si vous oubliez le port mis à la place de 445, utilisez http 81 pour voir la redirection.

[Billou02]

Gesp, je pense que ce petit script est a indiquer dans le newbie kit (si ce n'est pas déjà fait )

[mstotor]

oki merci à tous , des ce matin, j'ai remplacer l'ecoute du port 445 par un port different, vive le newbee kit et à ceux qui l'ont fait
ca marche impec pour ce type d'intervention rapide.

openvpn server apres modif tourne nikkel depuis

reste plus qu'à parametrer le (les) client(s) openvpn sur divers XP pro nomade pour qu'ils puissent chopper l'active directory du reseau local (distant) une foi le tunnel effectué et acceder aux ressources distantes.

D'ou une question supplementaire pour ceux qui aurront l'info afin d'eclairer un doute.

exemple:
un portable est pret à partir pour le compte d'une ONG à l'etranger, openvpn est installé dessus, la connection vpn se passe bien, acces aux IP du reseau local, pour un besoin de securité et d'acces aux ressources, j'ai besoin de l'integrer à l'active directory de cette ONG.

Question: lors de la demande d'integration de l'ordinateur à active directory, la requette DNS sort elle par les deux cartes reseaux en même temps ? l'une physique, et lié au reseau local de mon lan pour test, et l'autre virtuelle crée par openvpn est censée etre relié à son lan en DHCP auto......
il y a deux active directory en fonction, le mien sur mon lan, le sien sur son lan, sans approbation entre eux...


je pense qu'il n'y a pas de difficulté particuliere car si la requette sort sur chaque lan, et les DNS respectifs bien declarés, un seul serveur AD repondra à cette requette selon le nom de domaine demandé et si l'autentification est correcte le portable sera integré à l' AD de l'ONG.

est ce que cette logique est correcte ? désolé je me bataille en parallelle avec un cisco depuis quelques heures et je suis crevé...ma logique part en vrille

merci et bonne soirée